上周我们探讨了那些被高估的安全技术。本周我们将来关注硬币的另一面。以下就是今天安全业界普遍人们被低估的技术。由于有些安全专业人士认为很神奇的工具可能在别人看来是预算上的浪费,所以如果一种技术同时出现在被高估和低估的名单里也就不足为奇了。
白名单
应用安全是一些企业越来越担心的问题,因为企业和个人的应用越来越趋于利益化。无论是网银应用还是社交网络(如Facebook)中流行的游戏应用都是黑客攻击的目标。Web应用防火墙就被人们看做可以降低此类风险。这个产品较被低估的技术就是白名单:仅允许有效的通信通过关口的技术,因此也就可以提供外部输入的验证防护。
E-chx高级工程师Andy Willingham认为白名单和URL过滤技术被抛弃得太快了,因为这些技术太过复杂。“多数人认为限制哪些人可以进入以及他们可以访问什么不是一件简单的事情。”他说:“我们现在的处境就是我们不能只让人们做他们想做的事情。太多人鼓吹说,如果我们想抓住和保留好的员工,我们就必须允许他们安装程序并自由地进行网上冲浪,但是没有别的办法,我们只好将系统锁定。”
ISM公司Chris Young表示这项技术的较大挫折在于与管理的不兼容,但是这方面一直在改善。“我们现在的问题是,我们不能出于安全和控制的考虑将程序作为辅助加在上面。”他说:“较终,不能锁定系统,因为那样用户将不会有任何自由,但是它告诉管理员和用户,首先要对自己下载的东西进行把关,确保是安全的,并且在公司的规章制度之内。”
同时他还表示,白名单技术弥补了保护可执行文件时由于人们的不良行为或是意外引起的漏洞。“‘极光’就是很好的例子,白名单是人们无意间点击不良链接打开不良网站后的救命稻草,它可以完全阻止威胁的发生。”他说。
读者表示,他们较大的难题在于不知道如何正确地保护必须储存的数据以及销毁不再需要的数据。在许多安全违规事件中,后者是导致不法分子入侵的缘由。对于那些尚无法消除的数字数据,就更加要重视数据加密的作用。物理记录(磁盘驱动也包括在内)、简陋的粉碎机也是被人们低估的机器。
“你需要粉碎机来安全地处理那些不必要或未扫描的记录或加密数据来保护扫描过的数据的安全。”南非一调查机构所有者Tony Goring表示。
CPU压力测试工具
去年Invisible Things实验室创始人兼首席执行官Joanna Rutkowska公布了一份关于如何利用英特尔CPU缓存机制的文件,自此之后CPU缓存“投毒”这一概念就被引起了足够的重视。这份文件的目标之一就是阐明目前安全行业固体固件的不足。
文件指出,在其他的东西中,“CPU缓存投毒的实际目的是为了读写(或者保护)SMRAM记忆。”Invisible Things实验室找出了两个工作漏洞:“一个是为了倒出SMRAM的内容,另一个是为了在SMRAM中执行任意代码。”不法分子借助这些可能产生的后果创造更多阴险的rootkit、启动管理程序攻击或绕过操作系统内核的防御。
“看起来就算是名声在外的英特尔厂商,其固件安全的状态表现也不能令人满意。”文件较后做出这样的结论。
信息安全岛论坛僵尸网络研究员和代码编写者Kandy Zabka表示,CPU压力诊断工具是一个“极好的”工具,冲洗掉了CPU缓存投毒使用的确切的内存地址。“如果被多次运行,停止异常出现,可揭示涉及到的内存地址的精确块。”他说。
防火墙和AV
上周对于防火墙和防病毒技术我们的结论是否定的。安全专家多年都在告诉人们防病毒技术在成长,因为安全厂商不能跟上所有AV定义的变化,需要打败每个新的恶意软件。事实上,一些安全专家则吹嘘完全抛弃这项技术。
但是就像那些饱受诟病的任何技术一样,还是有一些人会站出来为它们正名。防火墙和AV可能不再能获得荣誉,但是有人认为它们是任何网络安全态势都需要的绝对必要的一部分。
“我认为在企业IT安全方面,防火墙、AV和补丁解决方案仍是较重要的技术。”Cyber-Ark软件英国和爱尔兰部门主管Mark Fullbrook表示。然而他补充说:“但是这些技术被低估了吗?有多少企业不正在使用这些技术呢?”
